Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on novembre 5, 2016

Interviste

(No comments)

La protesta dei lavoratori di Foodora ha portato l’attenzione sul tema dei salari nel settore dei servizi digitali. Alle nuove professioni comparse grazie al web spesso si accompagna una diminuzione dei diritti dei lavoratori.

Il settimanale Donna Moderna ha intervistato Giusella Finocchiaro su questi temi, riportiamo qui un estratto del giornale.

Schermata 2016-11-07 alle 18.03.44

Proponiamo qui l’intervista a Giusella Finocchiaro comparsa sul numero di dicembre 2015 del magazine del Consorzio Interuniversitario CINECA.

I principi giuridici a cui si fa riferimento in Internet scaturiscono dai principi generali del diritto o da discipline ad hoc?

I principi generali del diritto, naturalmente, sono sempre i medesimi, e d’altra parte non avrebbe senso approcciarsi al diritto cercando una soluzione ad hoc e una norma ad hoc per ogni problema specifico, senza attribuire la rilevanza necessaria al quadro d’insieme. Non è quindi sempre vero che per regolamentare le nuove tecnologie occorrono nuove norme. Inoltre, occorre evitare il luogo comune secondo cui la tecnologia corre e il diritto arranca. E’ una suggestione che non ha riscontro nella realtà, come dimostrato, ad esempio, dalla normativa in materia di firme elettroniche che, in Italia, ha visto la legge precedere la tecnica e addirittura il bisogno.

Recentemente si è affermato il principio secondo cui il diritto deve essere tecnologicamente neutro. In base a questo principio il legislatore non deve condizionare il mercato, favorendo questa o quella tecnologia, né deve condizionare lo sviluppo della tecnica. L’approccio è «funzionale» perché non si norma l’oggetto, ma la funzione. Occorre evitare di creare dei vincoli nei confronti di un determinato sviluppo tecnologico o commerciale, al contrario è necessario stabilire dei principi generali che possano rimanere invariati per un certo periodo di tempo, senza essere vincolati al mutamento delle tecnologie.

Oltre la firma elettronica, un altro caso emblematico è rappresentato dalla disciplina a tutela dei consumatori prevista per i contratti a distanza. Chiaramente si fa riferimento ad una modalità, ma non ad una specifica tecnologia. Da un punto di vista normativo, dunque non è rilevante, distinguere fra acquisti fatti ad esempio tramite un App o tramite un sito web tradizionale.

In merito alla tutela dell’utente sono ben noti il diritto alla privacy e il diritto d’autore, ma si parla anche di diritto all’oblio: di cosa si tratta?

Il diritto all’oblio non costituisce un diritto autonomo ma è sempre la declinazione di altri diritti normativamente riconosciuti. Tradizionalmente con la definizione di diritto all’oblio si fa riferimento al diritto di un soggetto a non vedere ripubblicate alcune notizie relative a vicende, già legittimamente pubblicate, rispetto all’accadimento delle quali è trascorso un notevole lasso di tempo.

Naturalmente su Internet il tempo da considerare non è più quello trascorso tra la pubblicazione dell’informazione e la ripubblicazione, ma quello trascorso dal tempo della pubblicazione che perdura. Il fattore tempo è rilevante non solo per quanto riguarda gli eventi di cronaca, ma anche per eventi in relazione ai quali un periodo significativo sia ormai trascorso e invece manchino elementi di contestualizzazione nel tempo. In questi casi, la giurisprudenza ha ravvisato la violazione del diritto all’identità personale.

Il problema è quello di attribuire un peso all’informazione per garantire che l’identità di un soggetto non sia travisata sulla Rete. Come ha affermato la decisione della Corte di cassazione 5 aprile 2012, n. 5525, l’obiettivo si può raggiungere contestualizzando l’informazione. Non si tratta dunque del diritto a dimenticare, ma del diritto a contestualizzare. Il tema sotteso, ma che emerge prepotentemente è quello della tutela dell’identità, nella molteplicità delle sue esplicazioni.

Lo scenario e la prospettiva non sono dunque quelli della singola informazione su di un determinato individuo relativo ad un evento determinato e reperibile tramite Google, bensì quelli della tutela della persona nella rete Internet, la quale oggi spesso viene percepita come un unico archivio, anche se non lo è, e costituisce una rilevante fonte informativa, spesso l’unica.

“Il Diritto nella Rete”, ma anche “la Rete nel Diritto”: in che modo Internet ha influenzato o modificato i principi del diritto comune?

Se in linea generale i principi del diritto comune restano invariati, è innegabile che con l’avvento delle nuove tecnologie il giurista si trova di fronte a nuove sfide. Quanto esposto sul diritto all’oblio è esemplificativo. Se nel mondo fisico l’elemento chiave è rappresentato dal concetto di “ripubblicazione”, su Internet è invece necessario riferirsi al tempo di permanenza dell’informazione, dal momento che non si tratta di un evento che si ripropone all’attenzione del pubblico, bensì di un evento che potenzialmente non è mai uscito dall’attenzione del medesimo. E quindi l’esigenza che in questo caso il diritto vuole soddisfare è diversa perché non è più quella di non ripubblicare, ma quella di collocare la pubblicazione, avvenuta magari legittimamente molti anni addietro, nell’attuale presente.

Una Rete senza frontiere: quanto le norme di diritto internazionale sono state investite da Internet?

Valgono le stesse considerazioni già fatte in linea generale. È chiaro che l’avvento della rete ha posto anche a livello internazionale la necessità di disciplinare specifici scenari: penso in primo luogo alle normative finalizzate a favorire l’uso della rete quale strumento di commercio e conseguentemente alla disciplina posta a tutela dei consumatori.

Discorso a parte per le convenzioni internazionali nate per facilitare la cooperazione fra le forze dell’ordine in relazione a crimini commessi per via telematica, penso ad esempio alla Convenzione del Consiglio d’Europa di Budapest sulla criminalità informatica del 23 novembre 2001.

Qual è il giudice naturale competente per le controversie in internet?

Dipende dalla natura della controversia. Si applicano le stesse regole procedurali del mondo fisico, il problema che Internet pone è che non sempre è immediata l’individuazione della giurisdizione competente.

Lei è docente all’Ateneo bolognese, a suo avviso, in che maniera Internet ha rivoluzionato il mondo dell’università? Si tratta solo di nuovi strumenti disponibili per le amministrazioni e per gli studenti, o anche qualcosa d’altro, nella mentalità ad esempio, è cambiato?

Ci sono pro e contro nell’utilizzo della rete, anche da parte del mondo universitario. Com’è ovvio, l’accesso immediato ad una maggiore quantità di informazioni ha reso più veloce il processo di ricerca e più ampia la portata di accesso ai testi di studio. Va tuttavia sottolineato che l’informazione archiviata su Internet non è ordinata: tutte le informazioni in rete sono appiattite, si trovano sullo stesso livello. Da un punto di vista accademico la ricerca in rete pone delle difficoltà agli studenti, perché non sempre sono in grado di rendersi conto dell’autorevolezza della fonti che stanno consultando. Al contrario, la consultazione dei testi cartacei in biblioteca assicura un maggior controllo sull’informazione e permette di distinguere più facilmente fra fonti originarie e opere derivate.

Per quanto riguarda invece il cambiamento che la rete ha portato da un punto di vista amministrativo, va ricordato che la pubblicità, cioè il modo di rendere conoscibili le informazioni, non è la stessa su Internet e fuori da Internet. Su Internet chiunque può fruirne senza limiti, a meno che non siano disposti espressamente restrizioni di accesso (aree riservate, password, ecc.) e limiti temporali. Dunque la pubblicazione on line e la pubblicazione off line costituiscono situazioni giuridiche differenti. L’Ateneo bolognese si è dotato di un regolamento innovativo sulla pubblicità degli atti che tiene conto del tempo di pubblicazione, il quale viene limitato a tre anni, delle modalità di accesso e dell’essenzialità del contenuto di ciò che deve essere pubblicato. Trasparenza non significa pubblicare tutto su Internet che, non dimentichiamolo, è un deposito e non un archivio strutturato della conoscenza.

Lei è stata tra le prime in Italia, a occuparsi di queste materie, e oggi è una delle più importanti esperte a livello internazionale, con incarichi e riconoscimenti importanti: cosa l’ha attratta all’inizio, e che bilancio fa oggi di questa esperienza?

Devo dire che dalla mia posizione di professionista preferisco sempre evitare di fare un bilancio su ciò che è stato fatto, perché preferisco guardare alle cose che devo ancora fare, nella volontà di migliorare sempre. Però senz’altro posso dire che sono soddisfatta di aver scelto di intraprendere lo studio di una branca del diritto che è continuamente fonte di nuovi stimoli.

Ho iniziato spinta dalla curiosità per un aspetto nuovo della giurisprudenza, animata anche da una passione per le innovazioni della tecnica. Nel mio campo di specializzazione ho quindi scoperto un aspetto affascinante della professione giuridica: la creatività del diritto. Credo quindi di essere stata fortunata, anche perché ho svolto sempre il mio lavoro con motivazione ed interesse, ma, per quanto soddisfatta, sono anche consapevole che ci sono molte nuove sfide da intraprendere.

We present here an exclusive interview with Mr. Giovanni Buttarelli, European Data Protection Assistant Supervisor.
“Saving jobseekers from themselves”, is the purpose of the German draft law which will regulate the use of information concerning job applicants collected on the internet by employers. What is your opinion on restricting by law the use of personal data that can be collected online?
This is an item on the agenda of the Data Protection Supervisors and lawmakers. In Germany for example, particular attention is devoted to this issue, because the German legislation is particularly detailed and advanced regarding data protection of workers, but the problem is also increasing in other countries.  As an expert appointed by the Council of Europe, I wrote the new draft of recommendations that should replace Recommendation (89) 2 about data processing in job relationships. A Recommendation of the Council of Europe is not a simple invitation, it is an act addressed to the fifty or so states of the Council, who, by voting for it, commit themselves to putting it into effect. In Italy the Council of Europe recommendations have been mentioned in the delegated law about the adoption of the DL consequent to law n.675 and even in the 2003 Code itself as directive criteria for the production of ethical behavior codes. This document of mine, accompanied by  research, refers to the necessity for specific new rules regarding this point. Up to now we have worked with very general criteria of transparency and accuracy, with the obligation to inform and with the evaluation of the principle of incompatibility and purpose, but these criteria are no longer sufficient because practices may be widely varied today.
Actually, it is already illegal to access social network pages under false pretences such as, for example, delegating someone to use  an account or requesting job-seeker friendship on Facebook through deceit.  However, even if the employer was openly present on the social network in a transparent way, the problem would occur in any case. Social networks are used in order to socialize with a limited number of people and usually for personal reasons. Therefore, we should make this kind of evaluation, perhaps drawing a distinction between social networks used for entertainment and those used for professional relationships, such as Linked_In.
- Facebook’s CEO said that privacy is no longer a social norm for new generations. Yet, in Germany the proposal of teaching how to defend personal data in schools is under consideration.  Is the European Supervisor considering the opportunity of teaching privacy?
The 32nd Annual International Conference of Data Protection and Privacy Commissioners recently held in Jerusalem started off with this Facebook statement in order to overturn it and to maintain that it is totally inappropriate. Even Facebook’s attitude demonstrated the opposite of what its CEO had asserted. It was not by chance that they have recently solved several serious privacy issues and in all probability they will solve others in the coming weeks. The fact that people are enthusiastic about new communication systems does not mean that it is correct to consider privacy outdated. For the younger generations this may well be true now, but not necessarily in the future, when they will have to face the consequences of those problems related to a lack of information regarding privacy on social networks.
First of all, we should find an easy way to communicate privacy to  the younger generations. Pedagogical approaches must be avoided. We should not speak over their heads, trying to teach young people how to use new technologies. Paternalism will not work at all. Thus we will have to develop a better understanding of the new languages and adapt the information on privacy to the communication devices which people ordinarily use to exercise their rights. Bureaucratic forms will never be used, a user-friendly pop-up window probably will also on smartphones. For this reason the new European Commission’s Communication on the future of European law regarding this issue, draws great attention to educating the younger generations to warning and risk but also to opportunities of having new devices which are more dynamic, functional, immediate and easier to use when exercising individual rights and deleting information, for example in the event of migration from one social network to another.
Privacy by design is considered one of the most effective systems to avoid privacy violations due to the launch of new software online. Will the new European regulation order companies to add privacy consultancy in designers’ work?
Definitely yes. The European Commission’s Communication which was published in all EU languages on the 4th of November, announces the commitment of the Commission to insert privacy by design in the principles of the new discipline.
It is currently under discussion whether to consider it an independent principle or a notion that can be translated later into different practices.
What is certain is that this principle should help us to face problems from the beginning of every project in order to avoid the difficulty of developing data protection systems subsequently, when all the choices have already been made.  It is therefore necessary to have technological support to solve problems of privacy, not only through privacy-oriented software but also through the creation of devices which will automatically fulfill privacy requirements, such as the erasure of data by overwriting, or setting of alerts which would allow people to know when further data use is incompatible with the original purposes, or, in addition, something that would prevent search engines from making a personal profile based on a data collection concealed from the user.
- Geolocalization through GPS devices is the cause of a recent alert about privacy online. However, IP addresses have always contained localization information. Will the next European regulation specifically consider this point?
There is already an advanced regulation regarding this issue. Directive 2002/58, recently reviewed by the e-privacy Directive which must be acknowledged by Member States before May 2011, touches on these points and with all probability it will not be modified by the new European regulation. So, it will be a pillar for several years to come.
Today, the regulation already requires the approval of the userdata subject, who should be adequately informed, and the possibility of terminating a value-added service involving geolocalization.  The issue is also being approaching with an eye to the retention of this kind of data in the so-called data-retention Directive. Today, for police and justice purposes, recorded data is stored for one or two years (depending on whether the data source is the telephone or telematic), which can lead to a possible excess of filing of personal communication activities.
It should also be considered that geolocalization is today mainly controlled through telephone systems, but in the near future, thanks to intelligent transport, it will operate independently of mobile telecommunication systems and will be used in the field of vehicular traffic for services such as toll payments, city centre access and safety systems.  For instance, we will be able to use these devices for sending alarm messages in case of an accident. Therefore, we will once again need to have a balance between the benefits of innovative systems and the guarantee that our data will only be used on one off basis and will not be stored. In any case, it should only be used for the specific  purposes of the services and not for marketing or filing.
- The subject of company accountability was one of the most important topics discussed at The 32nd Annual International Conference of Data Protection and Privacy Commissioners in Israel. How will this issue be integrated into the new European regulation?
Not as a new principle, nor as an extra cost for public bodies and for the private companies/individuals sector?. It will, however, help to give a sense of responsibility to data custodians controllers and it will have an influence on the Data protection Authorities themselves, who will have to be more selective and must not be entirely responsible for enforcement. Our approach is to maintain the principles we have followed since 1995, while making them more dynamic and suitable for new technologies. The main point is to do things in a more responsible way; data custodians controllers should not consider these principles as something to comply with only when there is a problem, a complaint or an appeal. They should consider their duties as something to be put into practice on a day-to-day basis. They should take on the responsibility of transforming into internal procedure everything which is necessary to adhere to the principles of law, which would mean redistributing roles and tasks, creating an internal policy and in case of appeal, complaint or inspection by the authorities, they should instantly be able to demonstrate they have been adhering to these principles. So, we will no longer have a situation in which data custodians controllers choose not to fulfill their privacy obligations and run the risk of incurring fines, thinking that an inspection may never arrive. Instead we will have a new scenario in which the data custodian controller is conscious that protection of  privacy is a daily obligation. An obligation which, if not correctly carried out, may lead data custodians controller to face serious legal consequences. Therefore, this is something both new and not new at the same time.

We present here the english translation of the interview with Mr Giovanni Buttarelli, European Data Protection Assistant Supervisor.

“Saving jobseekers from themselves”, is the purpose of the German draft law which will regulate the use of information concerning job applicants collected on the internet by employers. What is your opinion on restricting by law the use of personal data that can be collected online?

This is an item on the agenda of the Data Protection Supervisors and lawmakers. In Germany for example, particular attention is devoted to this issue, because the German legislation is particularly detailed and advanced regarding data protection of workers, but the problem is also increasing in other countries. As an expert appointed by the Council of Europe, I wrote the new draft of recommendations that should replace Recommendation (89) 2 about data processing in job relationships. A Recommendation of the Council of Europe is not a simple invitation, it is an act addressed to the fifty or so states of the Council, who, by voting for it, commit themselves to putting it into effect. In Italy the Council of Europe recommendations have been mentioned in the delegated law about the adoption of the D.Lgs consequent to law n.675 and even in the 2003 Code itself as directive criteria for the production of ethical behavior codes. This document of mine, accompanied by research, refers to the necessity for specific new rules regarding this point. Up to now we have worked with very general criteria of transparency and accuracy, with the obligation to inform and with the evaluation of the principle of incompatibility and purpose, but these criteria are no longer sufficient because practices may be widely varied today.

Actually, it is already illegal to access social network pages under false pretences such as, for example, delegating someone to use an account or requesting job-seeker friendship on Facebook through deceit. However, even if the employer was openly present on the social network in a transparent way, the problem would occur in any case. Social networks are used in order to socialize with a limited number of people and usually for personal reasons. Therefore, we should make this kind of evaluation, perhaps drawing a distinction between social networks used for entertainment and those used for professional relationships, such as Linked_In.

Facebook’s CEO said that privacy is no longer a social norm for new generations. Yet, in Germany the proposal of teaching how to defend personal data in schools is under consideration. Is the European Supervisor considering the opportunity of teaching privacy?

The 32nd Annual International Conference of Data Protection and Privacy Commissioners recently held in Jerusalem started off with this Facebook statement in order to overturn it and to maintain that it is totally inappropriate. Even Facebook’s attitude demonstrated the opposite of what its CEO had asserted. It was not by chance that they have recently solved several serious privacy issues and in all probability they will solve others in the coming weeks. The fact that people are enthusiastic about new communication systems does not mean that it is correct to consider privacy outdated. For the younger generations this may well be true now, but not necessarily in the future, when they will have to face the consequences of those problems related to a lack of information regarding privacy on social networks.

First of all, we should find an easy way to communicate privacy to the younger generations. Pedagogical approaches must be avoided. We should not speak over their heads, trying to teach young people how to use new technologies. Paternalism will not work at all. Thus we will have to develop a better understanding of the new languages and adapt the information on privacy to the communication devices which people ordinarily use to exercise their rights. Bureaucratic forms will never be used, a user-friendly pop-up window probably will also on smartphones. For this reason the new European Commission’s Communication on the future of European law regarding this issue, draws great attention to educating the younger generations to warning and risk but also to opportunities of having new devices which are more dynamic, functional, immediate and easier to use when exercising individual rights and deleting information, for example in the event of migration from one social network to another.

Privacy by design is considered one of the most effective systems to avoid privacy violations due to the launch of new software online. Will the new European regulation order companies to add privacy consultancy in designers’ work?

Definitely yes. The European Commission’s Communication which was published in all EU languages on the 4th of November, announces the commitment of the Commission to insert privacy by design in the principles of the new discipline.

It is currently under discussion whether to consider it an independent principle or a notion that can be translated later into different practices.

What is certain is that this principle should help us to face problems from the beginning of every project in order to avoid the difficulty of developing data protection systems subsequently, when all the choices have already been made. It is therefore necessary to have technological support to solve problems of privacy, not only through privacy-oriented software but also through the creation of devices which will automatically fulfill privacy requirements, such as the erasure of data by overwriting, or setting of alerts which would allow people to know when further data use is incompatible with the original purposes, or, in addition, something that would prevent search engines from making a personal profile based on a data collection concealed from the user.

Geolocalization through GPS devices is the cause of a recent alert about privacy online. However, IP addresses have always contained localization information. Will the next European regulation specifically consider this point?

There is already an advanced regulation regarding this issue. Directive 2002/58, recently reviewed by the e-privacy Directive which must be acknowledged by Member States before May 2011, touches on these points and with all probability it will not be modified by the new European regulation. So, it will be a pillar for several years to come.

Today, the regulation already requires the approval of the userdata subject, who should be adequately informed, and the possibility of terminating a value-added service involving geolocalization. The issue is also being approaching with an eye to the retention of this kind of data in the so-called data-retention Directive. Today, for police and justice purposes, recorded data is stored for one or two years (depending on whether the data source is the telephone or telematic), which can lead to a possible excess of filing of personal communication activities.

It should also be considered that geolocalization is today mainly controlled through telephone systems, but in the near future, thanks to intelligent transport, it will operate independently of mobile telecommunication systems and will be used in the field of vehicular traffic for services such as toll payments, city centre access and safety systems. For instance, we will be able to use these devices for sending alarm messages in case of an accident. Therefore, we will once again need to have a balance between the benefits of innovative systems and the guarantee that our data will only be used on one off basis and will not be stored. In any case, it should only be used for the specific purposes of the services and not for marketing or filing.

The subject of company accountability was one of the most important topics discussed at The 32nd Annual International Conference of Data Protection and Privacy Commissioners in Israel. How will this issue be integrated into the new European regulation?

Not as a new principle, nor as an extra cost for public bodies and for the private sector. It will, however, help to give a sense of responsibility to data controllers and it will have an influence on the Data protection Authorities themselves, who will have to be more selective and must not be entirely responsible for enforcement. Our approach is to maintain the principles we have followed since 1995, while making them more dynamic and suitable for new technologies. The main point is to do things in a more responsible way; data controllers should not consider these principles as something to comply with only when there is a problem, a complaint or an appeal. They should consider their duties as something to be put into practice on a day-to-day basis. They should take on the responsibility of transforming into internal procedure everything which is necessary to adhere to the principles of law, which would mean redistributing roles and tasks, creating an internal policy and in case of appeal, complaint or inspection by the authorities, they should instantly be able to demonstrate they have been adhering to these principles. So, we will no longer have a situation in which data controllers choose not to fulfill their privacy obligations and run the risk of incurring fines, thinking that an inspection may never arrive. Instead we will have a new scenario in which the data custodian controller is conscious that protection of privacy is a daily obligation. An obligation which, if not correctly carried out, may lead data controller to face serious legal consequences. Therefore, this is something both new and not new at the same time.

[ Please note that the acronyms of the Italian legislative documents have been left in their original form.

D. Lgs. may be translated as Legislative Decree].

Vi presentiamo, in esclusiva per Diritto&Internet, l’intervista al Cons. Giovanni Buttarelli, Garante europeo aggiunto alla protezione dei dati personali.

- “Salvare chi cerca lavoro da se stesso” questo secondo il Der Spiegel l’obiettivo della legge tedesca che regola l’utilizzo da parte dei datori di lavoro delle informazioni sugli impiegati trovate su Facebook. Cosa pensa del fatto di limitare per legge l’uso delle informazioni personali reperibili pubblicamente online?

È un punto all’ordine del giorno dell’attività delle Autorità Garanti, e anche dei legislatori. In Germania, ad esempio, c’è una particolare sensibilità, anche perché la legislazione tedesca è piuttosto dettagliata e avanzata in materia di tutela dei dati dei lavoratori, ma il problema si sta ponendo anche altrove. Come esperto designato dal Consiglio di Europa, ho redatto la nuova bozza di raccomandazione che dovrebbe sostituire la Raccomandazione (89) 2 sul trattamento dei dati nel rapporto di lavoro. Una raccomandazione del Consiglio d’Europa non è semplicemente un’esortazione, è un atto giuridico indirizzato ai circa 50 Stati membri del Consiglio che, votandolo, si impegnano ad attuarlo. In Italia le raccomandazioni del Consiglio d’Europa sono state citate nella legge-delega per l’adozione dei decreti delegati dopo la legge 675 e anche nello stesso Codice del 2003 come criteri direttivi per varare i codici di deontologia e di buona condotta. Questo mio testo, accompagnato da uno studio, fa proprio riferimento alla necessità di nuove regole specifiche su questo punto. Fino adesso si è lavorato con criteri molto generali di trasparenza e correttezza, di informazione e valutazione del principio di incompatibilità e finalità, ma questi criteri non bastano più perché le prassi possono essere molto diversificate. Certamente già oggi sono da ritenere illeciti gli accessi a social network basati su astuzie, inganni e trucchi; come, ad esempio, entrare nel social network attraverso la delega a un’altra persona, o sollecitare l’amicizia del lavoratore interessato con espedienti di vario tipo. Ma, anche qualora il datore di lavoro fosse presente in modo trasparente sul social network, il problema si porrebbe ugualmente. Il social network si usa per socializzare con una serie limitata di soggetti e per ragioni personali. Quindi, occorrerà fare una valutazione di questo tipo, magari distinguendo i social network usati per ragioni puramente di diletto da quelli riservati alle relazioni professionali, tipo Linked-In.

- Secondo il CEO di Facebook “La privacy per le nuove generazioni è un concetto superato”, in Germania però si valuta se insegnare nelle scuole come difendere i propri dati sensibili. Quale importanza viene data all’educazione alla privacy dal Garante Europeo?

La Conferenza mondiale della Autorità Garanti, che si è appena conclusa a Gerusalemme, è partita proprio dalla citazione di questa frase di FB per rovesciarla completamente e ritenerla assolutamente inadatta. Ma la stessa prassi di FB ha dimostrato il contrario di quanto affermato dal suo CEO, non a caso si sono già mossi per rimediare ad alcuni problemi seri di privacy e probabilmente troveranno un rimedio ad altri nelle prossime settimane. Il fatto che ci sia un entusiasmo nell’utilizzo dei nuovi sistemi di comunicazione non significa che sia corretto ritenere superato il concetto di privacy. Per le nuove generazioni può essere vero nel presente, ma non in un momento successivo quando ci si troverà a soffrire le conseguenze per problemi vari derivati magari da un difetto di informazione del social network.

Innanzitutto, è necessario l’uso di una comunicazione che sia comprensibile facilmente a quella generazione. Bisogna evitare l’approccio pedagogico, evitare di porsi su un piedistallo e insegnare ai giovani a utilizzare i nuovi strumenti di tecnologia. Il paternalismo non può funzionare. Quindi bisogna capire meglio i nuovi linguaggi e adattare le informative e i dispositivi per esercitare i diritti dell’interessato alle nuove esigenze. Un modulo burocratico non sarà mai utilizzato, una finestra pop-up user-friendly probabilmente sì, anche attraverso uno smartphone. Per questo motivo la nuova Comunicazione della Commissione europea sul futuro della normativa europea in materia sposta molto l’attenzione sull’educazione delle nuove generazioni – sull’ammonimento, sui rischi – ma anche sull’opportunità di avere nuovi strumenti più dinamici, più funzionali, più immediati e più facili da utilizzare per esercitare i diritti e cancellare le informazioni, per esempio nell’eventualità di una migrazione da un social network a un altro.

- La Privacy by design è considerata uno dei modi più efficaci per evitare violazioni della privacy dovute al lancio di nuovi sistemi software online. La nuova regolamentazione prescriverà alle aziende di integrare la consulenza sulla privacy al lavoro dei progettisti?

Sicuramente sì. La Comunicazione della Commissione europea che è stata resa pubblica in tutte le lingue dell’Unione il 4 novembre, annuncia l’impegno della Commissione ad inserire la privacy by design tra i principi della nuova disciplina. In questo momento si sta discutendo se debba essere un principio autonomo o una nozione, da tradurre poi in comportamenti differenziali. Quel che è certo è che, come dice la risoluzione che è stata approvata all’unanimità dalle autorità Garanti di tutto il mondo riunite a Gerusalemme, questo principio deve permettere di affrontare i problemi fin dall’inizio onde evitare la difficoltà di sviluppare la protezione dei dati in un momento successivo, quando tutte le scelte sono già state fatte. Si tratta di avere un supporto da parte della tecnologia per risolvere i problemi, quindi non solo attraverso un software pruivacy-oriented, ma anche attraverso la creazione di dispositivi che permettono di adempiere automaticamente ai requisiti della privacy, per esempio la cancellazione automatica dei dati attraverso una sovrascrittura, o l’istituzione di alert che permettano di capire quando l’uso ulteriore dei dati è incompatibile con le finalità originali, o ancora qualcosa che impedisca o renda più difficile una profilazione dell’interessato sulla base di una raccolta occulta dei dati da parte dei motori di ricerca.

- La geolocalizzazione attraverso dispositivi GPS è la causa del più recente allarme in materia di privacy online. Tuttavia, anche gli indirizzi IP contengono – da sempre – informazioni di localizzazione sul territorio. Il prossimo regolamento europeo interverrà in particolare su questi aspetti?

C’è già una normativa avanzata perché la Direttiva 2002/58, rivista recentemente attraverso la Direttiva e-privacy che deve essere recepita dagli Stati membri entro il maggio 2011, tocca questi punti e non verrà probabilmente modificata dalla nuova normativa europea. Rimarrà quindi un pilastro per i prossimi anni. Già oggi la normativa prevede il consenso dell’interessato adeguatamente informato e la possibilità di “staccare la spina” quando si utilizza un servizio a valore aggiunto che comporta la localizzazione. La questione si sta affrontando anche dal punto di vista della conservazione di questo genere di dati attraverso la cosiddetta direttiva data-retention. Oggi, per motivi di polizia e di giustizia, i dati registrati delle chiamate sono oggetto di conservazione per uno o due anni, a seconda che i dati siano telefonici o telematici, e questo porta ad una possibile schedatura eccessiva dei movimenti delle persone.

Va anche considerato che oggi la geolocalizzazione è prevalentemente gestita attraverso sistemi telefonici, ma un prossimo domani, attraverso soprattutto ai trasporti intelligenti, sarà operante a prescindere dalla telefonia mobile e sarà utilizzata nell’ambito della circolazione dei veicoli, per servizi quali il pagamento di pedaggi, l’accesso ai centri storici, e la sicurezza, con la possibilità, ad esempio, di mandare allarmi quando si hanno incidenti o si finisce in un burrone. Quindi, ci sarà di nuovo l’esigenza di bilanciare la possibilità di beneficiare di questi sistemi, per avere ad esempio messaggi informativi su blocchi del traffico, incidenti stradali, autostrade chiuse ed altro, con la garanzia che questi dati vengano utilizzati solamente one-by-one e non vengano registrati, o comunque utilizzati solo per quella finalità e non per ulteriori marketing e schedature.

-Il tema dell’accountability aziendale è stato uno degli argomenti centrali della conferenza in Israele. Come sarà integrato nella regolamentazione europea?

Non come un nuovo principio, né come un appesantimento ulteriore presso soggetti pubblici e privati. Servirà invece per responsabilizzare di più i titolari dei dati e influirà sulle stesse autorità sulla protezione dei dati, che devono essere più selettive e non possono essere caricate di tutto l’onere dell’enforcement. La linea che si sta seguendo è quella di mantenere i principi che conosciamo già dal 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. Si tratta di fare le cose più seriamente: i titolari del trattamento non devono soltanto considerare questa materia come qualcosa da rispettare nel momento in cui c’è un incidente, un reclamo o un ricorso, ma come qualcosa da tradurre in pratica. Devono assumersi l’onere di trasformare in una procedura interna tutto ciò che è necessario fare per essere effettivamente aderenti ai principi normativi, quindi distribuire ruoli e compiti, creare una policy interna e nel caso di ricorso, reclamo, ispezione, controllo da parte dell’Autorità essere in grado di poter adeguatamente, in tempo reale, dimostrare di averlo fatto. Quindi, non più un contesto in cui il titolare del trattamento sceglie di non adempiere agli obblighi della privacy e di correre il rischio di una sanzione, pensando che forse un’ispezione non arriverà mai, ma una prospettiva in cui il titolare è consapevole che la tutela della privacy è un compito quotidiano, una cosa che se non si fa, si potrebbe anche essere chiamati a rispondere per non avere tradotto in concreto gli obblighi di legge. Quindi, qualcosa di nuovo e non nuovo al tempo stesso.

Come anticipato, pubblichiamo l’intervista al giudice Oscar Magi estensore della sentenza del noto caso Google/Vividown, che ha condannato tre dirigenti di Google a sei mesi di reclusione. Le domande sono state rivolte al giudice in occasione del convegno su “Il futuro della responsabilità in rete. Quali regole dopo la sentenza del caso Google/Vividown?” presso l’Università degli studi di Roma Tre.

Durante il convegno si è parlato del fatto che l’upload su YouTube può essere considerato un esempio di  “manifestazione del pensiero”, pertanto un “regime speciale” di libertà di espressione che richiederebbe un’attenzione meno elevata sulla tutela dei dati personali dei soggetti coinvolti. Cosa ne pensa, visto che questa interpretazione è in contrasto con la sua sentenza?

L’ho trovato interessante da un punto di vista strettamente culturale, ma poco aderente a quella che è la realtà normativa. Non si può confondere la libertà di espressione del pensiero con un video pesantemente offensivo nei confronti di un ragazzo down, quindi con un’evidente portata di tipo “criminale”. Sono due cose profondamente diverse. Il problema di queste norme è che sono poco frequentate: se si cerca negli archivi e nelle banche dati non si trova niente. A livello giuridico questa è stata una foresta da disboscare col machete, nella quale non c’erano strade.

Cosa pensa della cosiddetta autoregolamentazione nella presa di responsabilità da parte dei provider sui contenuti illeciti recentemente proposta dal ministro Maroni?

Ho visto solo anticipazioni giornalistiche, peraltro anche molto sintetiche, e sono abituato per una ragione di professionalità a ragionare solo sulle norme fatte e non su quelle che si vogliono fare. Detto questo, io credo che l’autoregolamentazione sia una strada percorribile, come ha indicato anche il prof. Zencovich: autoregolamentarsi prima che intervenga un meccanismo di regolamentazione troppo severa. Certo se l’autoregolamentazione viene imposta dal Governo c’è una contraddizione in termini, visto che sarebbe una regolamentazione e non un autoregolamentazione. Finché non vedo una norma scritta non riesco a dare un parere, anche perché sono norme molto tecniche, molto particolari, di non semplice partecipazione, su concetti che anche da un punto di vista verbale non sono di dominio comune, ad esempio bisogna capire se viene riportata una differenza fra host provider e content provider.

Quale tutela per soggetti che possono subire danni tipo quello del caso Google/Vividown nel caso di un’autoregolamentazione? Gli illeciti possono sempre accadere, nonostante le precauzioni.

L’autoregolamentazione può essere una strada possibile, ma certo non è l’unica da percorrere.  È chiaro che va ridefinito un percorso di responsabilità ed è da definire in modo preciso. Non so se debba essere la norma sul meccanismo colposo del direttore del giornale o dell’editore del giornale, come ha proposto il prof. Rossello stamattina, è una via interessante. Certo, per quel che riguarda il provider, c’è da individuare un eventuale profilo colposo, rilevabile dalla violazione di norme specifiche. Anche qui va fatta una distinzione attenta e precisa fra quelli che sono gli host provider e quelli che sono invece i produttori o i gestori di contenuti. Non sono la stessa cosa. E penso che da questo punto di vista la mia sentenza sia significativa: per la prima volta, credo, si fa una differenza importante tra questi due tipi di provider, che sono due soggetti giuridici profondamente diversi.

Pensa a una distinzione fra categorie?

Bisogna fare un discorso chiaro sul fine di lucro. Ci sono dei provider che lavorano a scopo di lucro, un lucro anche piuttosto rilevante, che vanno certamente tutelati, ma con un discorso diverso dagli altri. Non perché il lucro sia un male ovviamente, ma dove c’è la possibilità di guadagnare molto dall’upload dei file allora lì ci deve essere una valutazione di tipo diverso. Non a caso la legge sulla privacy individua il dolo specifico collegato al fine di lucro, cosa che in altri campi non c’è. Evidentemente il fine di lucro è un indice rivelatore importante.

Un altro indice rivelatore è quello relativo alla qualità del provider e un ultimo indice significativo potrebbe basarsi proprio sul fatto che il provider si autoregolamenti o meno. Queste tre cose andrebbero regolate anche perché altrimenti si corre il rischio di lasciare una situazione in completa balia di quella che può essere una giurisprudenza anche molto alternativa, perché io oggi ho deciso così, ma domani un giudice di Barletta può decidere in senso opposto. Il che non è bello per chi deve lavorare nei settori coinvolti.